Das neue TTDSG: Das musst du beim Einsatz von Cookies beachten
Datenschutzvorgaben für Telekommunikation und Telemedien waren bislang in unterschiedlichen Gesetzen verstreut. Die Verpflichtung zur Einwilligung bei Cookies war explizit nirgendwo festgeschrieben, sondern musste ins Gesetz (TMG) hineingelesen werden, um den zugrundeliegenden EU-Vorgaben zu genügen. Die damit einhergehende Unklarheit der Rechtslage soll ab dem 1. Dezember 2021 mit dem neuen Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) behoben werden. Das TTDSG fasst die Datenschutzregeln aus dem Bereich zusammen und nimmt einige Änderungen vor. Für Unternehmen besonders relevant ist die neu gesetzte Einwilligungspflicht für Cookies, die in diesem Beitrag vorgestellt wird.
Neue Rechtsklarheit für Cookies
Welche Anforderungen Unternehmen zu beachten hatten, wenn sie Cookies einsetzen wollen, ist aufgrund einer fehlenden eindeutigen Regelung zuletzt nicht immer einfach zu beurteilen gewesen. Der neue § 25 TTDSG soll dem nun Abhilfe schaffen. Er legt die Verpflichtung zum Einholen einer Einwilligung sowie einige Ausnahmen fest.
Die Einwilligung muss immer dann eingeholt werden, wenn Informationen in der Endeinrichtung eines Nutzers gespeichert werden oder wenn ein Zugriff auf bereits gespeicherte Informationen erfolgt. Der Begriff der Endeinrichtung wurde gewählt, um möglichst viele unterschiedliche Geräte zu erfassen. Daher geht es nicht nur um klassische Endgeräte wie Smartphones oder Notebooks, sondern auch um alle anderen internetfähigen Geräte. Das sind vor allem Smart- und IoT-Geräte wie Smart TVs, Lautsprecher und Wearables.
Neben Cookies gilt § 25 TTDSG im Übrigen ebenso für alle anderen vergleichbaren Technologien, mit denen Informationen auf Endgeräten gespeichert oder ausgelesen werden. Hier ist etwa an Browser-Fingerprinting zu denken, wenn Browser-Daten erfasst und daraufhin Nutzer identifiziert werden.
Wie die Einwilligung eingeholt werden muss
Die Art und Weise der Einwilligung soll sich hingegen nach den Vorgaben der DSGVO richten. Hierfür gilt das TTDSG nicht. Entsprechend der DSGVO-Vorgaben muss eine Einwilligung informiert und freiwillig abgegeben werden.
Wichtig ist zudem, dass die einwilligende Person durch ein explizites Opt-in aktiv handelt. Schließlich muss die Einwilligung jederzeit widerruflich sein, was bedeutet, dass die Cookie-Einstellungen auch nach dem ersten Surfen auf einer Website verfügbar und einfach aufrufbar sein müssen.
Wann keine Einwilligung eingeholt werden muss
Wenn der Zweck der Speicherung von oder des Zugriffs auf Informationen auf Endeinrichtungen allein darin besteht, eine Nachricht über ein öffentliches Telekommunikationsnetz zu übertragen, ist keine Einwilligung erforderlich.
Eine zweite Ausnahme ist für den Fall vorgesehen, wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, damit Anbieter von Telemediendiensten ihre Dienste auf den ausdrücklichen Wunsch des Nutzers diesem bereitstellen können. Diese Regelung ist in erster Linie für technisch erforderliche Cookies geschaffen worden, die für den Websitebetrieb benötigt werden.
Je nach Einzelfall können auch Cookies für die technische Sicherheit oder zur Speicherung von Nutzerinformationen wie etwa Spracheinstellungen als erforderlich eingestuft werden. Der Umfang der Ausnahmen bleibt auch nach den Vorgaben des TTDSG leider auslegungsbedürftig und im Detail unklar.
Einwilligungsverwaltung und Personal-Information-Management-Services
Das TTDSG beinhaltet nun erstmals Vorgaben für die Verwaltung von Einwilligungen, mit denen Nutzer:innen beispielsweise ihre Einwilligungsentscheidungen speichern und an Websites weiterleiten können, um sie nicht bei jedem Aufruf erneut über ein Cookie-Banner abgeben zu müssen.
Auch wenn der erste Entwurf für das TTDSG weiter ging und Einwilligungen durch eine Browserauswahl oder sonstige Anwendung erlaubt hätte, können Nutzer:innen nun generelle Einwilligungen einmalig über sogenannte Personal-Information-Management-Services (PIMS) und andere Dienste, die Einwilligungen technisch verwalten, erteilen. Allerdings müssen solche Einwilligungsdienste zuerst von einer unabhängigen Stelle nach Ablauf eines Anerkennungsverfahrens anerkannt werden.
Alle der folgenden vier Voraussetzungen müssen erfüllt werden, um einen Einwilligungsdienst anzuerkennen:
- Die technischen Anwendungen und Verfahren zur Einholung und Verwaltung der Einwilligungen sind nutzerfreundlich und wettbewerbskonform
- Der Dienst hat kein wirtschaftliches Eigeninteresse an der Einwilligung und an den verwalteten Daten und es besteht keine Abhängigkeit zu Unternehmen, bei denen dies der Fall sein könnte.
- Alle Daten bezüglich der Einwilligung werden nur zum Zweck der Einwilligungsverwaltung verarbeitet.
- Der Dienst legt ein Sicherheitskonzept vor, welches eine Bewertung der Qualität und Zuverlässigkeit ermöglicht und aus dem sich die Umsetzung aller technisch-organisatorischen Vorgaben an Datenschutz und Datensicherheit nach der DSGVO ergibt.
Durch die Zertifizierung durch die unabhängige Stelle sollen die Dienste angemessen reguliert werden, um das Vertrauen der Nutzer:innen zu sichern. In der Praxis hat diese Regelung derzeit noch wenig Relevanz, denn die Bundesregierung muss das konkrete Verfahren erst noch in einer Verordnung festlegen. Wie lange Unternehmen und Nutzer:innen darauf noch warten müssen, ist bisher leider nicht absehbar.
Fazit
Auch wenn die Änderungen durch das TTDSG für die Praxis im Ergebnis gering sind, besteht nun etwas mehr Rechtsklarheit beim Einsatz von Cookies im Rahmen von Telemedien. Hier können Unternehmen mit dem TTDSG nun auf ein Gesetz zurückgreifen, in dem die Einwilligungspflicht explizit festgeschrieben wurde.
Alle bislang offenen Fragen sind jedoch durch das Gesetz wiederum nicht beantwortet worden. So bleibt weiterhin oft uneindeutig, welche Cookies im Einzelnen als unbedingt erforderlich angesehen werden, beispielsweise bei Cookies zur Optimierung des Websitebetriebs.
Das letzte Wort hat hier der EU-Gesetzgeber, sollte es endlich zur Verabschiedung der schon lange geplanten E-Privacy-Verordnung kommen. Daher empfiehlt es sich, die weitere Entwicklung zu beobachten. Trotz allem sollten Unternehmen aber darauf achten, auch die Vorgaben des TTDSG sorgfältig umzusetzen. Schließlich hält das Gesetz für Verstöße einen Bußgeldrahmen von bis zu 300.000 Euro bereit.